Contraseñas en Cisco

A raiz de una discusión sobre las contraseñas de unos ap’s me puse a re-buscar la información sobre el método de cifrado de dispositivos cisco.

Basicamente Cisco utiliza 3 formas de almacenamiento de contraseñas:

Almacenamiento en texto plano: Para matarse si solo estas pensando en usarlo.

Cifrado nivel 7: Antiguo, inseguro, no lo uses, Su decodificacion es inmediatada (prueba este por ejemplo).

Cifrado nivel 5: Basado en MD5, a día de hoy no existe ningún metodo para descifrarlo. La única forma es romper la contraseña median fuerza bruta. Para utilizarlo necesitas IOS 12.3(4) o superior (lo que hace que no pueda utilizarlo en mis cutre-ap’s).

Vale, ahora ya tienes la contraseña bien protegida, pero de que sirve cifrarla si luego pones la primera cosa que se te viene a la cabeza y cualquier password decoder te la pilla en 5 min?.

Lee esto para hacerte una idea de por donde van los tiros.

La verdad es que, cuanto tienes muchos equipos es difícil de mantener una buena política de contraseñas, las seguras son jodidas de recordar y las fáciles de recordar no suelen ser buenas. Además,. al tener muchos equipos necesitas tener claro como vas a almacenarlas

Puedes probar este generador de contraseñas a ver si tienes narices de recordarlas luego.

En mi caso siempre procuro utilizar algo que me facilite recordarlas y que, a la vez sean difíciles de desencriptar. Lo mejor es, ponerla y pasarla el brute force para comprobar.

Por ejemplo te puedes coger tu tema preferido (enemigos de spiderman):

Veneno es Eddie Brock y le pasas unos cambios V3n3n03$3dbr0ck, ahora coges y le añades algo raro ($$9 por ejemplo) así que, la contraseña queda como V3n3n03$3dbr0ck$$9, si tienes varias maquinas sigues el mismo patrón p ej (3ldu3nd33$n00$b04rn$$9). Es otra forma mas, simplemente.

Lo dicho, si quieres comprobar tus contraseñas, pasales el john the ripper y sales de dudas.

La documentación de cisco referente al almacenamiento de contraseñas.

Lo mas seguro?, utiliza tacacs+ (por lo menos la contraseña no esta en el equipo) y filtrado por dispositivo.

Comments are closed.